News & views

Der Flame Wurm

Date Posted: 8 Juni, 2012

Heute widmen wir uns einem Thema, was alle betrifft, aber bei keinem richtig auf dem Schirm ist: Es geht um das Thema IT-Sicherheit, bei der die Kommunikation vor besonderen Herausforderungen steht: Den richtigen Mittelweg zu finden und sowohl die Herunterspielung eines Problems und des Bedrohungspotentials aber auch die kopflosen, panischen und nicht zielgerichteten Reaktionen hinter sich zu lassen. Beides verbessert nichts, im Gegenteil, es kann die Situation verschlimmern, wenn nicht richtig analysiert wird, welches Bedrohungspotential de facto vorhanden ist. Zur Analyse muss man allerdings einen kühlen Kopf zum Einordnen der Sachlage behalten. Das betrifft nicht nur das Thema IT-Sicherheit, sondern alle Lebens- und Kommunikationsumstände.

In seinem Gastbeitrag geht René Pfeiffer, Sicherheitsexperte und Organisator der internationalen Sicherheitskonferenz DeepSec (https://deepsec.net/) auf diese Problematik ein:

Der „Superwurm“ Flame und die Schweinegrippe haben eines gemeinsam: eine sehr hohe Präsenz in den Medien. Natürlich sollte man Schädlinge, Krankheiten und Ansteckung nicht kleinreden. Vorsicht hat noch niemandem geschadet. Nur wie geht man mit Bedrohungen dieser Art um, speziell wenn man Angst um seine digitalen Schafe auf der elektronischen Weide hat?

Douglas Adams hat es in seinen Hitchhiker Romanen auf den Punkt gebracht: „Don’t panic!“ Die Analyse geht der Kopflosigkeit voraus und verhindert sie oft. Flame ist zweifellos eine Schadsoftware mit sehr viel Potential. Der Code läßt sich nach Infektion mit Modulen nachrüsten und ist spezialisiert auf Datendiebstahl. Der Wurm selbst versucht möglichst kein Aufsehen zu erregen, um die Verweildauer auf infizierten Systemen zu maximieren. Laut der Analyse von CrySyS Lab ist Flame schon seit mehr als 5 bis 8 Jahren aktiv. Die Software nutzt alle Fähigkeiten des infizierten Systems für das Ausspionieren, darunter periodische Screenshots, Mitschneiden der Tastatureingaben, Zugriff auf angeschlossene Kameras und Mikrophone, Mitlesen am Netzwerk (Kabel, WLAN, Bluetooth), Auslesen aller angeschlossenen Speichermedien und laufender Prozesse. Aus diesen Codes werden schlechte Träume, wenn man sich die Analyse durchliest.
Es gibt aber einen ganz wichtigen Punkt: Die Zahl der infizierten Systeme liegt unter 400 und ist geographisch begrenzt (Iran, Israel, Palästina, Sudan, Syrien, Libanon haben die meisten gemeldeten Fälle). Verglichen damit waren mehr als 600.000 OS X Systeme mit dem Flashback Wurm infiziert (Stand Oktober 2011). Natürlich helfen diese Statistiken den Betroffenen nicht, aber sie verdeutlichen, dass der Flame Wurm eine ganz spezifische Mission und bestimmte Ziele hat, die man erst auf den zweiten Blick sieht.

Die Gegenmaßnahmen bleiben trotz der oft beschworenen Superlativen und Agentengeschichten immer dieselben. Auf Hochseeschiffen haben sich abschottbare Bereiche bewährt. Dieser Ansatz kombiniert mit Schleusen und Bereichen verschiedener Sicherheit wird bis heute eingesetzt, trotz gesunkener Schiffe. In der IT Sicherheit ist es genauso, nur gibt es leider mehr Möglichkeiten als Schutztüren. Die Antivirus-Industrie, die gerade die „Entdeckung“ einer seit 5 bis 8 Jahren operierender Spionagesoftware feiert, illustriert eigentlich sehr gut, dass eine Maßnahme alleine nicht ausreichen kann. Gute Angreifer bringen Filtersysteme immer noch auf einen Münzwurf. „Kopf oder Zahl?“, heißt es dann für die Firmendaten. Die Kombination aus Technologie und gesunder Vorsicht gepaart mit Skepsis ist wirksamer. Das erfordert einen kühlen Kopf und eine gesunde Kommunikation, um Schreckensmeldungen analysieren zu können. So verhindert man unüberlegte Aktionen und schätzt Sicherheitsmaßnahmen richtig ein. Man trinkt ja auch nicht literweise Schöpfwasser aus der Kanalisation nur weil man gerade eine Tropenschutzimpfung hatte. Oder haben Sie das schon einmal ausprobiert?

Links:
Beitrag auf Nakeds Security
Report von crysys.hu (pdf)
blog.deepsec.net

Share this
arrow_upward